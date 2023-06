Cyberkriminelle bieten unter dem Namen "Terminator" ein mächtiges Tool an, das angeblich bekannte Sicherheitslösungen und Virenscanner unter Windows ausschalten kann. Sicherheitsexperten haben sich das Tool angesehen und warnen vor der Bedrohung.

Windows 7 und neuer anfällig

Manipulierter Treiber

Zusammenfassung Cyberkriminelle bieten Tool "Terminator" an.

Anbieter nennt sich Spyboy und verkauft Tool über Hackerforen.

Terminator schaltet rund zwei Dutzend AV-, EDR- und XDR-Lösungen aus.

Legitimer, signierter Treiber wird in System32 abgelegt.

Erfordert administrative Rechte, zeigt Benutzerkontensteuerung-Popup.

Wenige Anbieter von Sicherheitslösungen reagieren auf Gefahr.

Microsoft hat einige Zertifikate gesperrt, um Angriffe zu verhindern.

Das wird in einem Reddit-Beitrag von CrowdStrike offengelegt. Wer hinter Terminator steckt, ist noch unbekannt. Der Anbieter oder die Gruppe nennt sich selbst Spyboy und verkauft zu Preisen zwischen 300 und 3000 Dollar ihr mächtiges Tool über einschlägige Hackerforen.Terminator schafft es angeblich, rund zwei Dutzend der bekanntesten Antiviren- (AV), Endpoint Detection and Response- (EDR) und Extended Detection and Response- (XDR) Sicherheitslösungen, einschließlich Windows Defender, auf Geräten mit Windows 7 und höher einfach zu beenden. Damit mogelt der Terminator dann weitere Schadsoftware auf fremde PC-Systeme.Laut dem Angebot des Bedrohungsakteurs werden "Ransomware und Lockers" ausgeschlossen, da der Anbieter dafür nicht verantwortlich gemacht werden will.Wie ein CrowdStrike-Entwickler bei Reddit aufzeigt, legt Terminator einen legitimen, signierten Zemana Anti-Malware-Kernel-Treiber namens zamguard64.sys oder zam64.sys in den Ordner C:\Windows\System32\ mit einem zufälligen Namen zwischen 4 und 10 Zeichen ab.Nachdem dieser bösartige Treiber auf die Festplatte geschrieben wurde, wird er von Terminator geladen, um die Prozesse der AV- und EDR-Software mithilfe seiner Kernel-Berechtigungen zu beenden. Das heißt aber auch, dass ein möglicher Angreifer administrative Rechte auf seinen Opfer-Systemen benötigt. Dann müssen die Betroffenen dazu gebracht werden, ein Pop-up-Fenster der Benutzerkontensteuerung zu akzeptieren, das beim Ausführen des Tools angezeigt wird. Ganz unentdeckt kann der Terminator somit nicht arbeiten - dennoch ist er eine große Bedrohung.Zudem ist es aktuell noch so, dass wenige Anbieter von Sicherheitslösungen auf die Gefahr reagiert haben. Laut einem Virus Total-Scan wird der bösartige Treiber derzeit nur von einer einzigen Anti-Malware-Scan-Engine als anfällig erkannt.Terminator gehört zu den sogenannten BYOVD-Angriffen (Bring Your Own vulnerable Driver). Dabei werden eigentlich legitime Treiber, die mit gültigen Zertifikaten signiert sind und mit Kernel-Rechten ausgeführt werden können, auf den Geräten der Opfer abgelegt, um Sicherheitslösungen zu deaktivieren und das System zu übernehmen. Microsoft hat darauf bereits reagiert und einige Zertifikate gesperrt.